远控软件GHOST源码免杀
<script type="text/javascript"></script> |
远控软件gh0st源码免杀
|
远控软件gh0st3.6开源了,开源意味着我们可以在此基础上进行二次开发,同时也意味着杀软可以较容易的查杀该款远控木马,既然要利用,我们就做好源码基础上的木马免杀工作。
好久没有来博客了,我把免杀这部分整理了一下,先抛一砖头,有兴趣的朋友可以接着做,也可以和本人交流。 序 一、环境配置 二、特征码定位简述 三、二进制文件与源码定位之map文件利用 病毒名称 特征码位置 内存地址 第一步设置VC编译环境生成Map文件。 第二步编译VC工程,设置活动工程编译即可,这个不用说明。这个步骤完成后,在release(或debug)目录,多了一个.map文件(比如svchost.map)。 第三步打开map文件(用UE或文本编辑器打开都行),形式如下: (begin) Preferred load address is 10000000 ----------------------------------------------------------------------------2---(为方便说明,wrw添加) 0001:00000000 ??0CAudio@@QAE@XZ 10001000 f Audio.obj ...... Line numbers for ./Release/FileManager.obj(E:/vtmp/gh0st3src/Server/svchost/common/FileManager.cpp) segment .text 17 0001:00002630 20 0001:0000267f 21 0001:00002698 24 0001:000026d0 (end) 我们看下,定位svchost.dll 的第一个特征码内存地址为:100044AA,在第2块中,我们可以找到RVA+BASE与之很接近的是 0001:00003440 ?FixedUploadList@CFileManager@@AAE_NPBD@Z 10004440 f FileManager.obj 这样我们可以定位到FileManager.cpp中的FixedUploadList函数,是不是范围缩小了? 四、实战免杀 B、Avast免杀 五、添加垃圾代码的小方法 六、gh0st自动生成6to4ex.dll的修改 gh0st服务端是通svchost -netsvcs启动的,所以程序要利用netsvcs 服务,服务端也就是根据netsvcs生成的,故不能说服务端生成是随机的,相对于大多数系统来讲,基本是固定的,下面看分析。 查看install.cpp里面的InstallService()方法,首先遍历HKEY_LOCAL_MACHINE/SOFTWARE/ Microsoft/Windows NT/CurrentVersion/Svchost中的服务项,查找到一个服务后,程序采取替换服务的方法,将原服务删除,然后生成对应服务项+ ex.dll的文件替换原服务,6to4服务一般排在第一位,6to4服务是一种自动构造隧道的方式,作用在于只需要一个全球惟一的IPv4地址便可使得整个站点获得IPv6 的连接,这个服务对一般人来讲,基本闲置,所以我们的程序就把6to4服务给替换掉,同时在windows/system32/目录下生成 6to4ex.dll,以后启动就是6to4ex了,如果把这个服务跳过去,就依次向下生成Ias、Iprip等服务啦,如果netsvcs项没有可以替换的服务,则程序将自己添加1个服务,名称就是由 AddsvchostService()方法产生的netsvcs_0x%d。 这样说不知道关心服务名称的明白了不? 这个不能说是技术问题,但是小技巧问题可以从这里产生,我不知道其他人的360是怎么过的,但是我觉得可以提示1下的是,如果是360默认系统安全的服务,它肯定不会报不安全,替换闲置的系统安全的服务则通过360的效果要好的多 |
远控软件GHOST源码免杀相关推荐
- 远控软件gh0st源码免杀之我谈
远控软件gh0st3.6开源了,开源意味着我们可以在此基础上进行二次开发,同时也意味着杀软可以较容易的查杀该款远控木马,既然要利用,我们就做好源码基础上的木马免杀工作. 好久没有来博客了,我把免杀这部 ...
- 源码免杀处理的技巧与tips
2019独角兽企业重金招聘Python工程师标准>>> 首先,要了解编译中MAP的利用: 第一步设置VC编译环境生成Map文件. 在 VC 中,点击菜单"Proje ...
- 源码免杀教程 源码免杀思路详解
绝对不一样的源码免杀教程!绝对不一样的免杀实战体验!清晰的思路!细致全面的思路详解!让你感到免杀原来可以这么简单!教你如何在源代码中找出被杀代码,修改代码从而达到免杀效果! 免杀之-网络攻防入门书籍推 ...
- 现在主流免杀是源码免杀
一.文件特征码定位: 一般我们先用MyCCL把被查杀文件的文件特征码定位出来,然后用C32判断定位出来的这个特征码是代码还 是字符串,或者是输入表.输出表.版权信息等-定位在不同的地方,就要用不同 ...
- Mimikatz源码免杀
目录 介绍 环境准备 处理报错 生成32位 生成64位 下载360.360杀毒 直接查杀 关键字替换-失败 去除注释,修改版本信息 删除注释信息 替换图标 修改版本信息 重新编译文件 过杀软 360家 ...
- 源码免杀--反调试代码,免杀爱好者必备的利剑
源码免杀只处理特征码还是不够的,必须要加入反调试代码,这样才能更持久更耐用.这里就发几个暗夜经常用的反调试代码给大家. 1. HKEY ck; char strreg[] = {'S','O','F' ...
- 源码免杀-过启发式的思路
定位免杀NOD32的一些经验 ----collect dying site:http://www.idying.cn 欢迎大家一起讨论 先说下定位方法: 1 NOD32不能正向定位的,定位出来也是不能 ...
- 在linux下做源码免杀,Cobaltstrike免杀从源码级到落地思维转变
文章来源: https://www.freebuf.com/articles/web/258988.html 前言 距离上一篇文章<那些FastJson漏洞不为人知的事情(开发角度)>已经 ...
- 小七免杀 源码免杀培训班
被杀毒软件误杀 为什么不学习免杀呢?小七免杀论坛 2013年源码免杀培训课程,带你走进杀毒软件的世界. 百度网盘:http://pan.baidu.com/s/1i3yxshB 提取密码:tt0q 第 ...
最新文章
- 《自然》:欧洲根据已知基因序列合成新冠病毒,助力疫苗开发
- Java多线程2:Thread中的实例方法
- 8-7-Exercise
- python简单编程例子-中文方便就用中文编程!Python图形界面开发实例
- 我在学python-我在大学毕业后学习Linux、python的一些经验
- Android面试收集录13 Android虚拟机及编译过程
- 160个Crackme039
- PowerBI随笔(3)-增加自定义列
- Kettle使用_4 Excel批量数据输入
- Angular refreshView里Component template函数的执行原理
- 自定义报表预览控制工具条
- qt中生成含有中文的json文件和解析json文件
- 统一归档助企业撑起信息的保护伞
- sqlplus补丁包rlwrap-0.37的安装步骤(解决SQL的删除、上翻历史命令等)
- LNMP1.4环境中安装fileinfo插件
- 网站结构优化的基本方法
- (超长)讨论关于允许物料负库存的利与弊...
- 【2022最新Java面试宝典】—— SpringBoot面试题(44道含答案)
- Unicode和GB2312编码表
- 数据挖掘——数据可视化